CVE-2026-59098
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
LobeChat do wersji 2.2.9 zawiera podatność związaną z niespójną kontrolą dostępu w funkcji wyszukiwania semantycznego RAG. Uwierzytelnieni atakujący mogą uzyskać dostęp do danych innych użytkowników, wykorzystując brak predykatów identyfikujących użytkownika w metodzie semanticSearch modelu chunk.
Ocena ryzyka
Ryzyko polega na możliwości kradzieży poufnych danych, takich jak treści plików, nazwy plików i metadane innych użytkowników, co może prowadzić do naruszenia prywatności i wycieku informacji.
Rekomendacja
Należy niezwłocznie zaktualizować LobeChat do wersji nowszej niż 2.2.9, która zawiera poprawkę usuwającą lukę w kontroli dostępu. Do czasu aktualizacji zaleca się ograniczenie dostępu do funkcji wyszukiwania semantycznego.
Oryginalny opis (angielski, źródło NVD)
LobeChat through 2.2.9 contains a broken access control vulnerability in the retrieval-augmented-generation semantic search functionality that allows authenticated attackers to access other users' data by exploiting missing user-identifier predicates in the chunk model semanticSearch method. Attackers can supply arbitrary victim file or knowledge-base identifiers through the chunk retrieval and chat knowledge-base paths to retrieve text content, file names, and metadata belonging to other users.

